Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ablauf der SAML-Abmeldung
Amazon Cognito unterstützt SAML 2.0 SingleSingleLogoutService
URL in Ihren IdP-Metadaten. Amazon Cognito signiert die Abmeldeanforderung mit Ihrem Benutzerpool-Signaturzertifikat.
![Authentifizierungsflussdiagramm der Amazon Cognito SAML-Abmeldung. Der Benutzer fordert die Abmeldung an und Amazon Cognito leitet ihn mit einer SAML-Abmeldeanfrage an seinen Anbieter weiter.](images/scenario-authentication-saml-sign-out.png)
Wenn Sie einen Benutzer mit einer SAML-Sitzung an Ihren /logout
Benutzerpool-Endpunkt weiterleiten, leitet Amazon Cognito Ihren SAML-Benutzer mit der folgenden Anfrage an den SLO-Endpunkt weiter, der in den IdP-Metadaten angegeben ist.
https://
[SingleLogoutService endpoint]
? SAMLRequest=[encoded SAML request]
& RelayState=[RelayState]
& SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256& Signature=[User pool RSA signature]
Ihr Benutzer kehrt dann mit einem LogoutResponse
von seinem IdP zu Ihrem saml2/logout
Endpunkt zurück. Ihr IdP muss eine HTTP POST
Anfrage einreichen. LogoutResponse
Amazon Cognito leitet sie dann von ihrer ursprünglichen Abmeldeanfrage an das Weiterleitungsziel weiter.
Ihr SAML-Anbieter sendet möglicherweise eine LogoutResponse
mit mehr als einerAuthnStatement
. Das sessionIndex
in der ersten Antwort dieses Typs muss mit dem AuthnStatement
sessionIndex
in der SAML-Antwort, mit der der Benutzer ursprünglich authentifiziert wurde, übereinstimmen. Wenn sessionIndex
sich das in einem anderen befindetAuthnStatement
, erkennt Amazon Cognito die Sitzung nicht und Ihr Benutzer wird nicht abgemeldet.